Mangler oversikt over API-ene sine: – Skjulte innganger!

State of API Security 2023 viser at mange mangler oversikt over API-ene de bruker. Og det kan være tusenvis av dem.

Jo flere API-er, jo vanskeligere å holde oversikt over om alle er sikre. 📸: <a href="https://unsplash.com/@irzvn_?utm_content=creditCopyText&amp;utm_medium=referral&amp;utm_source=unsplash">Rezvani</a>, <a href="https://unsplash.com/photos/a-man-sitting-in-front-of-two-computer-monitors-Xn3D8DIzH7Q?utm_content=creditCopyText&amp;utm_medium=referral&amp;utm_source=unsplash">Unsplash</a>
Jo flere API-er, jo vanskeligere å holde oversikt over om alle er sikre. 📸: Rezvani, Unsplash Vis mer

60 prosent av de spurte i undersøkelsen "State of API Security 2023" oppgir at de har blitt rammet av et databrudd i løpet av de siste to årene. Av disse hadde 74 prosent minst tre brudd som var relatert til API-er.

Undersøkelsen er gjennomført blant 1.629 respondenter i 100 land av Ponemon Institute på vegne av selskapet Traceable. Vi gjør oppmerksom på at Traceable selger løsninger for å sikre API-er, og at resultatene derfor bør tas med en liten klype salt.

I en kronikk i Infoworld skriver teknologisjef i Traceable, Sanjay Nagaraj, at API-er er helt avgjørende for den globale, digitale transformasjonen vi ser. Så avgjørende at 57 prosent av de spurte oppgir minst 7 på en skala fra 1 til 10 når de blir spurt om hvor viktige API-er er for dem. 29 prosent oppgir 9 eller 10 på viktighetsskalaen.

Problemet ifølge Nagaraj, er at selv om mange oppgir å bruke hundrevis eller tusenvis av API-er, så er det bare 59 prosent som har full oversikt over alle.

– Tenk deg å bygge et nettverk av rørledninger i en by, men så miste oversikt over dem. I den digitale verden er uoppdagede og ubeskyttede API-er skjulte innganger for cyberangrep, sier Nagaraj.

«Implikasjonene er enorme, alt fra uautorisert datatilgang til driftsforstyrrelser.»

Mest vanlige angrep mot API-er

Undersøkelsen viser at 59 prosent av bedrifter har løsninger som gjør dem i stand til å oppdage og ha oversikt over alle API-er som er i bruk. Det betyr imidlertid at en stor andel av API-ene ikke er "på radaren", og dermed potensielt kan være utsatt for ulike cybertrusler.

– Implikasjonene er enorme, alt fra uautorisert datatilgang til driftsforstyrrelser og mer, advarer Nagaraj.

Dette er de mest vanlige angrepsmetodene som blir brukt i forbindelse med API-relaterte angrep, ifølge undersøkelsen:

📸: Traceable.ai
📸: Traceable.ai Vis mer

Nagaraj skriver i sitt innlegg at det å forstå konteksten mellom API-aktivitet, hva brukere gjør, datastrømmer og eksekvering av kode, er avgjørende. For eksempel kan uregelmessigheter i hvordan brukere tilsynelatende oppfører selg eller i dataene, være tidlige indikatorer på et innbruddsforsøk eller på et noen utnytter en sårbarhet i et system.

– Bedrifter overser ofte også behovet for å overvåke og forstå kommunikasjonen mellom API-endepunkter og applikasjonstjenester, advarer han.

API-er øker angrepsflaten

58 prosent av respondentene svarer at de er enig eller sterkt enig i påstanden om at API-er øker størrelsen på angrepsflaten på tvers av alle lagene av teknologistacken til bedriften de jobber i.

56 mener at antallet API-er gjør det vanskelig å unngå angrep.

Dette er de største utfordringene bedrifter har med hensyn til API-er, ifølge undersøkelsen. 📸: Traceable.ai
Dette er de største utfordringene bedrifter har med hensyn til API-er, ifølge undersøkelsen. 📸: Traceable.ai Vis mer

Det flest oppgir som den aller største utfordringen er det å unngå "API Sprawl". Med det menes at man har mange API-er av mange ulike typer, på ulike steder, og kanskje administrert av flere ulike team.

OWASP har for øvrig laget en oversikt over de ti største sikkerhetstruslene mot API-er, som penetrasjonstester Erik Vetle Larsen har skrevet litt om her: